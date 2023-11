Le nuove esigenze di sicurezza, data governance e tokenizzazione Sostituire i dati sensibili con token privi di valore è una strategia sempre più utile, mentre le nuove regolamentazioni richiedono crittografia avanzata. Il punto di vista di Comforte. Pubblicato il 06 novembre 2023 da Elena Vaciago

Per far fronte alle sfide correnti e ai trend della compliance europea, la sicurezza informatica richiede un approccio sempre più basato sulla protezione dei dati critici dell’azienda. Le iniziative di trasformazione digitale generano una vasta quantità di dati, che tuttavia spesso non vengono sfruttati appieno. Inoltre, le leggi e i regolamenti sulla privacy e sulla sicurezza dei dati sono in continua evoluzione, e regolamentazioni come DORA e PCI DSS richiedono modelli avanzati di crittografia per proteggere i dati: una corretta strategia di Data governance deve adattarsi di conseguenza.

Una corretta data governance richiede l'impiego di team eterogenei e l'adattamento costante alle regolamentazioni in evoluzione. Nel contesto della sicurezza dei dati, la tokenizzazione emerge come una soluzione efficace per sostituire dati sensibili con token privi di valore, mantenendo intatto il formato originale dei dati. Questo approccio semplifica notevolmente l'accesso ai dati e la loro gestione, riducendo la complessità rispetto alla crittografia tradizionale. Nell’intervista ad Andrea Renna, Senior Vice President of Sales di Comforte, abbiamo discusso dell'importanza della data governance e dell'evoluzione delle pratiche di crittografia per proteggere i dati aziendali.



Perché il dato è oggi l'elemento più critico da considerare in una strategia di sicurezza?



Oggi, non vi sono più dubbi sul valore dei dati e sulle infinite possibilità di migliorare i processi aziendali, ottenere migliori intuizioni, favorire l'innovazione e la monetizzazione. Tuttavia, sono altrettanto evidenti le sfide e i rischi associati a una cattiva gestione dei dati, come minacce informatiche e violazioni normative riguardanti la privacy e il PCI DSS, nonché problemi legati ai trasferimenti transfrontalieri.



È fondamentale impostare una strategia adeguata per la monetizzazione dei dati e per la loro protezione. Senza una strategia di monetizzazione ben definita, questa potrebbe non funzionare o addirittura comportare elevati rischi. Il rischio di ransomware, che può portare a esfiltrazioni e cancellazioni dei dati, mette in pericolo i dati stessi, che diventano il bersaglio principale degli attaccanti. Questi dati rappresentano un tesoro ambito da tutti, ma una volta protetti, se l'attaccante minaccia di rivelarli o cancellarli, il cliente finale potrebbe rispondere: "Tienili pure, tanto sono assolutamente privi di valore". È quindi di primaria importanza proteggere i dati e garantire che rimangano di elevato valore per il business, ma che, in caso di ricatto o attacchi ransomware, siano di nessun valore per l’attaccante, che quindi rimarrà senza nulla in mano.



Data governance: che cosa significa, e che cosa implica la perfetta gestione del dato?



Per comprendere appieno il concetto di data governance e raggiungere una eccellente gestione del dato, il primo passo è comprendere il valore del proprio patrimonio di dati. Questo richiede l'identificazione e la catalogazione di tutti i dati in possesso dell'azienda, che possono includere informazioni sui clienti, transazioni economiche e finanziarie, dati di mercato e altre informazioni rilevanti. L'identificazione e la classificazione rappresentano un passo fondamentale per stabilire politiche riguardanti chi possa accedere a tali informazioni, oltre che per implementare le necessarie misure di protezione.



Nel frattempo, è essenziale che l'azienda definisca obiettivi chiari per la monetizzazione dei dati. Tali obiettivi devono essere strettamente legati a iniziative aziendali di alto livello, come l'incremento delle entrate, la riduzione dei costi e il miglioramento dell'esperienza dei clienti. Solo partendo da una visione d'insieme a livello macro è possibile passare poi ad azioni specifiche a livello micro per raggiungere tali obiettivi.

Andrea Renna, senior vice president of sales di Comforte

Le aziende oggi stanno sperimentando direttamente il fatto che la trasformazione digitale genera una vasta e diversificata quantità di dati, i quali rappresentano un valore fondamentale per il business. Tuttavia, spesso i dati non vengono sfruttati appieno o addirittura il patrimonio di dati aziendale non è ben conosciuto all'interno dell'azienda. Qual è il tuo punto di vista?



I dati sono abbondanti, ma di rado sono completamente conosciuti. Oggi l'intelligenza artificiale può svolgere un ruolo significativo nel rivelare questi dati e individuare anomalie, duplicati, contribuendo a iniziative di pulizia dei dati e all'organizzazione di questa base di conoscenza. È fondamentale valutare la qualità e la governance dei dati, garantendo che siano completi, accurati, affidabili e, soprattutto, conformi alle normative sulla protezione dei dati, come il Gdpr.



La strategia di monetizzazione dei dati deve, quindi, essere conforme alle normative e deve seguire le migliori pratiche per la sicurezza dei dati, poiché sia i clienti sia i partner devono avere fiducia nell'azienda su questo fronte. In caso contrario, si rischiano risultati opposti, come crolli del valore di mercato dell’azienda dovuti a violazioni dei dati, perdite di clienti e danni alla reputazione.

Come dovrebbe essere articolata la data governance, e quali sono le implicazioni sui processi interni?



Per definire una solida strategia di data governance, è essenziale coinvolgere squadre eterogenee che includano esperti nei settori commerciale, marketing, data science, aspetti legali e sicurezza informatica. La visione di questo percorso dev’essere olistica e non limitata a un settore specifico. Inoltre, è fondamentale tenere presente che le leggi e i regolamenti relativi alla privacy e alla sicurezza dei dati stanno cambiando costantemente e diventano sempre più stringenti. Mantenere sempre aggiornata la strategia di data governance e adattarla di conseguenza è di estrema importanza. I nuovi cambiamenti normativi richiedono una revisione continua della strategia di utilizzo dei dati.

La stessa sicurezza informatica dell’azienda andrebbe impostata su una corretta data security. Quindi come collegare le procedure data protection alla gestione del dato?



È importante evidenziare che gli approcci tradizionali della cybersecurity basati sulla difesa perimetrale sono obsoleti. In Comforte siamo convinti che la sicurezza debba basarsi su un approccio incentrato sui dati, che sono la parte fondamentale da proteggere. Per rafforzare la data protection, bisogna poi evolvere verso modelli più avanzati di protezione, quali la tokenizzazione dei dati. I modelli di crittografia tradizionale non sono più adeguati. Diverse regolamentazioni come DORA e PCI DSS enfatizzano l'importanza di adottare modelli avanzati di crittografia. La tokenizzazione dei dati può essere una soluzione efficace.



Per capire meglio di che cosa si tratti, faccio un esempio semplice. Immaginiamo un casinò che utilizza chip al posto del denaro contante. I chip sono gestiti dal cassiere centrale, che li controlla e verifica costantemente. Altrove questi chip non hanno alcun valore, ma all'interno dell'ecosistema del casinò sono la valuta utilizzata nei giochi senza restrizioni. La sicurezza centrata sui dati funziona in modo simile: se un'azienda gestisce dati sensibili, come i numeri delle carte di credito dei clienti, invece di conservarli in formato testo semplice li tokenizza, sostituendo il dato sensibile con un token privo di valore. In questo modo, se un attaccante accede ai dati, non ottiene alcun valore.



Inoltre, la tokenizzazione dovrebbe essere “format-preserving”, ovvero preservare il formato originale dei dati. Questo offre numerosi vantaggi sia a livello infrastrutturale, poiché non richiede ulteriori investimenti, sia in termini di analisi dei dati, poiché i dati tokenizzati mantengono la struttura originale. A differenza della crittografia tradizionale, che richiede un processo di decrittazione per leggere i dati, la tokenizzazione semplifica notevolmente questo processo e non richiede passaggi aggiuntivi.